Visualizzazione risultati 1 fino 14 di 14

Discussione: Forum inaccessibile

  1. #1
    Guest

    Predefinito Forum inaccessibile [attacco hacker smf]

    Salve,sono un moderatore del forum(li' mi chiamo nfscarbon4 :P) http://saintseiyags.altervista.org/index.php .E' da circa una mezz'ora che il sito risulta inaccessibile restituendomi una serie di errori (qui in basso) .Da cosa può dipendere ciò?Grazie anticipatamente.


    Notice: Undefined variable: sourcedir in /membri/saintseiyags/index.php on line 54

    Warning: main() [function.main]: open_basedir restriction in effect. File(/QueryString.php) is not within the allowed path(s): (/membri) in /membri/saintseiyags/index.php on line 54

    Warning: main(/QueryString.php) [function.main]: failed to open stream: Operation not permitted in /membri/saintseiyags/index.php on line 54

    Fatal error: main() [function.require]: Failed opening required '/QueryString.php' (include_path='.:') in /membri/saintseiyags/index.php on line 54
    Ultima modifica di sgsgsg : 24-03-2009 alle ore 23.49.56

  2. #2
    L'avatar di silvermaledetto
    silvermaledetto non è connesso AlterGuru 2500
    Data registrazione
    01-03-2007
    Residenza
    Provincia di Modena
    Messaggi
    4,613

    Predefinito

    la prima cosa che mi sovviene sarebbe quella di sovrascrivere con quella di un recente backup sicuramente funzionante la cartella
    index.php
    sembra addirittura che manchi!
    Ultima modifica di silvermaledetto : 24-03-2009 alle ore 16.36.28
    Io ne ho... visti forum che voi umani non potreste immaginarvi... PhpBB3 in panne al largo dei database MySQL di Orione... E ho visto i TAG [B] balenare nel buio vicino al postreply di Tannhäuser.... E tutti quei... momenti andranno perduti nel tempo... Come... lacrime... nella pioggia... È tempo... di backuppare....

  3. #3
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Vedo che usate smf 1.1.8 ma c'è la "vecchia" shoutbox.
    Assicurati sia correttamente patchata (è a rischio xss).
    -
    Leggi qui: http://www.smitalia.net/community/in...ic,3856.0.html
    Ultima modifica di darkwolf : 24-03-2009 alle ore 16.51.45

  4. #4
    saintseiyags non è connesso Utente giovane
    Data registrazione
    08-06-2008
    Messaggi
    32

    Predefinito

    Sono l'admin del sito, problema risolto, ed era nel file setting.php che qualcuno entrando fraudolentamente nel mio account di altervista me lo aveva completamente editato facendolo risultare vuoto. la "vecchia" shoutbox era patchata Darkwolf.
    Vi chiedo in virtù di questo se è possibile, magari tramite richiesta apposita, avere l' indirizzo ip di chi si è loggato nella giornata di oggi sul mio account di altervista.
    Grazie

  5. #5
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Assicurati non ci siano file e/o directory strane e cambia la password del tuo account.
    Se usi un servizio di statistiche controlla eventuali richieste a url interni anomali.
    -
    PS: se qualcuno entra non si mette a svuotare il setting.php, fa ben altro
    -
    PS: pur essendo stato modificato, sarebbe cortese mantenere un riferimento del template (overview by DzinerStudio) nei crediti del forum (come ho fatto io del resto pur avendolo modificato pesantemente anche nei colori).
    Ultima modifica di darkwolf : 24-03-2009 alle ore 17.29.21

  6. #6
    saintseiyags non è connesso Utente giovane
    Data registrazione
    08-06-2008
    Messaggi
    32

    Predefinito

    Citazione Originalmente inviato da darkwolf Visualizza messaggio
    Assicurati non ci siano file e/o directory strane e cambia la password del tuo account.
    La pass l'ho cambiata però eccetto quel setting.php modificato in data di oggi non mi sembra di aver notato altre anomalie

    Se usi un servizio di statistiche controlla eventuali richieste a url interni anomali.
    Purtroppo non uso niente del genere l'unica cosa strano che ho notato andando a vedere il log degli errori del forum è stato questo, cioè un visitatore ha tentato di accedere a questo url :
    Codice:
     http://saintseiyags.altervista.org/index.php?amp;action=quickmod2;topic=837.0 
    
    Impossibile verificare l'url di provenienza. Per favore torna indietro e riprova.
    PS: se qualcuno entra non si mette a svuotare il setting.php, fa ben altro
    Speriamo non fa altri danni oltre che cambiare pass non so che contromisure prendere onestamente


    Citazione Originalmente inviato da darkwolf Visualizza messaggio
    PS: pur essendo stato modificato, sarebbe cortese mantenere un riferimento del template (overview by DzinerStudio) nei crediti del forum (come ho fatto io del resto pur avendolo modificato pesantemente anche nei colori).
    Non avevo messo il link perchè appunto lo avevo modificato anche nelle tabelle, però non è un problema lo rimetto

    Sulla storia degli ip di chi si logga al mio account potete rispondermi? Così anche per rendermi conto se si è trattato di pass rubato anche se ignoro come possano averlo fatto
    Grazie a tutti^^

  7. #7
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Citazione Originalmente inviato da saintseiyags Visualizza messaggio
    La pass l'ho cambiata però eccetto quel setting.php modificato in data di oggi non mi sembra di aver notato altre anomalie


    Purtroppo non uso niente del genere l'unica cosa strano che ho notato andando a vedere il log degli errori del forum è stato questo, cioè un visitatore ha tentato di accedere a questo url :
    Codice:
     http://saintseiyags.altervista.org/index.php?amp;action=quickmod2;topic=837.0 
    
    Impossibile verificare l'url di provenienza. Per favore torna indietro e riprova.
    Mi ricorda un vecchio exploit: http://www.simplemachines.org/commun...topic=220443.0
    -
    Sarebbe bene avere un qualcosa che tenga traccia delle mosse degli utenti (io uso php-stats)
    Citazione Originalmente inviato da saintseiyags Visualizza messaggio
    Speriamo non fa altri danni oltre che cambiare pass non so che contromisure prendere onestamente
    Assicurati che il tuo pc non sia infetto (ad-aware; spyware; virus)
    Cambiare password di altervista e password del forum.
    Controllare eventuali file anomali (potenziali shell).
    Citazione Originalmente inviato da saintseiyags Visualizza messaggio
    Non avevo messo il link perchè appunto lo avevo modificato anche nelle tabelle, però non è un problema lo rimetto
    Più che altro è una forma di rispetto verso l'autore

  8. #8
    L'avatar di silvermaledetto
    silvermaledetto non è connesso AlterGuru 2500
    Data registrazione
    01-03-2007
    Residenza
    Provincia di Modena
    Messaggi
    4,613

    Predefinito

    Scusate se intervengo: non conosco quel tipo di forum ma se sono intervenuti sull'account altervista accedendo al database il forum ha ben poche colpe.
    Poi mi sembra strano che per tener traccia delle mosse degli utenti bisogna implementare delle MOD o altro!

    Ma la Board non registra tutti gli accessi con IP relativi?
    O io col phpbb3 sono abituato male?

    Per la password : meglio crearla articolata e molto lunga per i bruteforce attack
    ma poi ci sono metodi molto gentili di procurarsele contro i quali a volte c'è davvero poco da fare.
    Aggiornare sempre alle ultime versioni ogni software.... e tanta difesa passiva.
    Ultima modifica di silvermaledetto : 24-03-2009 alle ore 18.16.34
    Io ne ho... visti forum che voi umani non potreste immaginarvi... PhpBB3 in panne al largo dei database MySQL di Orione... E ho visto i TAG [B] balenare nel buio vicino al postreply di Tannhäuser.... E tutti quei... momenti andranno perduti nel tempo... Come... lacrime... nella pioggia... È tempo... di backuppare....

  9. #9
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Citazione Originalmente inviato da silvermaledetto Visualizza messaggio
    Scusate se intervengo: non conosco quel tipo di forum ma se sono intervenuti sull'account altervista accedendo al database il forum ha ben poche colpe.
    Poi mi sembra strano che per tener traccia delle mosse degli utenti bisogna implementare delle MOD o altro!
    Ti consiglierei di provarlo
    Conosco poco phpbb ma fra i due non ho dubbi (sopratutto per la gestione delle MOD) :)
    Si anche smf ha una gestione di tracciamento degli utenti e simili ma, con phpstats si ha una visuale migliore a mio parere

  10. #10
    saintseiyags non è connesso Utente giovane
    Data registrazione
    08-06-2008
    Messaggi
    32

    Predefinito

    La mia richiesta di indirizzo ip si riferiva alla registrazione dell'ip quando accediamo al nostro account di altervista non quello sul nostro forum ;) smf certo che memorizza gli ip ma oltre quel fatto che ho segnalato poco fa altre anomalie sul forum non le ho riscontrate.
    Volevo chiedere a Darkwolf come sia possibile un attacco exploit vecchio se ho comunque una versione smf aggiornata? Inoltre cosa mi consigli di reinstallare il forum da capo?
    Grazie ancora.

  11. #11
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Citazione Originalmente inviato da saintseiyags Visualizza messaggio
    La mia richiesta di indirizzo ip si riferiva alla registrazione dell'ip quando accediamo al nostro account di altervista non quello sul nostro forum ;) smf certo che memorizza gli ip ma oltre quel fatto che ho segnalato poco fa altre anomalie sul forum non le ho riscontrate.
    Volevo chiedere a Darkwolf come sia possibile un attacco exploit vecchio se ho comunque una versione smf aggiornata? Inoltre cosa mi consigli di reinstallare il forum da capo?
    Grazie ancora.
    Io ricevo attacchi per vecchie versioni di phpbb, ipb, drupal e simili (lo vedo grazie a apache error handler mod), semplicemente ci provano ma non hanno successo (cosa probabilmente avvenuta anche nel tuo forum.)
    SMF 1.1.8 non ha bug noti.

  12. #12
    L'avatar di silvermaledetto
    silvermaledetto non è connesso AlterGuru 2500
    Data registrazione
    01-03-2007
    Residenza
    Provincia di Modena
    Messaggi
    4,613

    Predefinito

    ma non c'è bisogno di exploit se si accede alla root!
    E neppure di debolezze della Board.
    Comunque per SMF :no grazie!

    Il fatto che abbiano solo danneggiato il file setting.php
    non è poi così inusuale: ho visto dozzine di phpbb2 in cui cambiavano solo l'index.php
    Sono piccole dimostrazioni di forza senza voler arrecare danni particolari.
    A volte attaccano interi server
    Ultima modifica di silvermaledetto : 24-03-2009 alle ore 18.59.52
    Io ne ho... visti forum che voi umani non potreste immaginarvi... PhpBB3 in panne al largo dei database MySQL di Orione... E ho visto i TAG [B] balenare nel buio vicino al postreply di Tannhäuser.... E tutti quei... momenti andranno perduti nel tempo... Come... lacrime... nella pioggia... È tempo... di backuppare....

  13. #13
    saintseiyags non è connesso Utente giovane
    Data registrazione
    08-06-2008
    Messaggi
    32

    Predefinito

    Citazione Originalmente inviato da silvermaledetto Visualizza messaggio
    ma non c'è bisogno di exploit se si accede alla root!
    Ma come è stato possibile che hanno scoperto la mia pass di altervista? A quanto dici non sono il primo caso. Ma a chi posso richiedere l'indirizzo ip per scoprire chi si è loggato con il mio account di altervista?
    Vi ringrazio.

  14. #14
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Il fatto che quel file fosse vuoto farebbe pensare ad una corruzione del medesimo per qualche motivo, piuttosto che la manomissione di qualcuno.

    Pare esistano precedenti e anche un tool per ripristinarlo: http://www.simplemachines.org/commun...topic=206442.0
    Gianluca

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •